又一改写MBR的新款下载者
TDSS TDL4越发嚣张了这个改写MBR的后门,国外很流行。此前国内并不多见。
昨天在卡饭见到一网友说:下载了一个啥注册机,毫不犹豫的就运行了。结果,就着着实实的中招了。
下载其提供的样本,开着RIS2011(最新病毒库,默认防护设置)运行此样本。结果RIS2011 无任何反应!以前见到的那些TDSS TDL4 变种RIS2011 的主动防御还都能挡住。但这次,RIS2011 彻底漏了。
1、中毒后,用XueTr在中毒环境中看到的异常:
http://bbs.ikaka.com/attachment.aspx?attachmentid=668186
2、中毒后,在WINPE环境看到的中毒症状:
http://bbs.ikaka.com/attachment.aspx?attachmentid=668184
病毒在硬盘尾部260多个扇区内写入的病毒代码:
http://bbs.ikaka.com/attachment.aspx?attachmentid=668185
3、前面已经说过, RIS2011 完全被此毒绕过了。很多人相信卡巴的专杀TDSSKILLER可以搞掂此毒。它真能搞掂吗?看图:
http://bbs.ikaka.com/attachment.aspx?attachmentid=668187
http://bbs.ikaka.com/attachment.aspx?attachmentid=668207
http://bbs.ikaka.com/attachment.aspx?attachmentid=668188
http://bbs.ikaka.com/attachment.aspx?attachmentid=668189
http://bbs.ikaka.com/attachment.aspx?attachmentid=668190
http://bbs.ikaka.com/attachment.aspx?attachmentid=668191
4、还是XueTr说实话啊!下图是卡巴专杀TDSSKILLER声称搞掂此毒后,用XueTr看到的:
http://bbs.ikaka.com/attachment.aspx?attachmentid=668197
卡巴那个专杀不管清理硬盘尾部那200多个扇区内的病毒代码。
http://bbs.ikaka.com/images/attachicons/attachimg.gifhttp://bbs.ikaka.com/attachment.aspx?attachmentid=668198
最后,俺还是用WINPE U盘引导,用老办法,在WINPE环境下手工搞掂了它。
页:
[1]